ไม่ได้ตั้งค่าคุกกี้ CSRF ของ Django

Question 1

ฉันมีปัญหามาระยะหนึ่งแล้วพบว่าไม่ได้ตั้งค่าคุกกี้ CSRF โปรดดูรหัสด้านล่าง

Python

def deposit(request, account_num):
    if request.method == 'POST':
        account = get_object_or_404(account_info, acct_number=account_num)
        form_ = AccountForm(request.POST or None, instance=account)
        form = BalanceForm(request.POST)
        info = str(account_info.objects.filter(acct_number=account_num))
        inf = info.split()
        
        if form.is_valid():

            # cd=form.cleaned_data
            now = datetime.datetime.now()
            cmodel = form.save()
            cmodel.acct_number = account_num
            
            # RepresentsInt(cmodel.acct_number)
            cmodel.bal_change = "%0.2f" % float(cmodel.bal_change)
            cmodel.total_balance = "%0.2f" % (float(inf[1]) + float(cmodel.bal_change))
            account.balance = "%0.2f" % float(cmodel.total_balance)
            cmodel.total_balance = "%0.2f" % float(cmodel.total_balance)
            
            # cmodel.bal_change=cmodel.bal_change
            cmodel.issued = now.strftime("%m/%d/%y %I:%M:%S %p")
            account.recent_change = cmodel.issued
            cmodel.save()
            account.save()
            
            return HttpResponseRedirect("/history/" + account_num + "/")
        
        else:
            return render_to_response('history.html',
                                      {'account_form': form},
                                      context_instance=RequestContext(request))

ใน HTML นี่คือรหัส

HTML

<form action="/deposit/{{ account_num }}/" method="post">
    <table>
        <tr>
            {{ account_form.bal_change }}
            &nbsp;
            <input type="submit" value="Deposit"/>
        </tr>
        {% csrf_token %}
    </table>
</form>

ฉันติดขัดฉันล้างคุกกี้แล้วใช้เบราว์เซอร์อื่น แต่ยังไม่ได้ตั้งค่าคุกกี้ csrf

Question 2

นอกจากนี้ยังสามารถเกิดขึ้นได้หากCSRF_COOKIE_SECURE = Trueมีการตั้งค่าและคุณกำลังเข้าถึงไซต์อย่างไม่ปลอดภัยหรือหากCSRF_COOKIE_HTTPONLY = Trueมีการตั้งค่าตามที่ระบุไว้ที่นี่และที่นี่

Question 3

from django.http import HttpResponse
from django.views.decorators.csrf import csrf_exempt

@csrf_exempt 
def your_view(request):
    if request.method == "POST":
        # do something
    return HttpResponse("Your response")

Question 4

หากคุณใช้HTML5 Fetch APIเพื่อสร้างคำขอ POST ในฐานะผู้ใช้ที่ล็อกอินและรับForbidden (CSRF cookie not set.)อาจเป็นเพราะโดยค่าเริ่มต้นfetchไม่รวมคุกกี้เซสชันส่งผลให้ Django คิดว่าคุณเป็นผู้ใช้ที่แตกต่างจากผู้ที่โหลดหน้า .

คุณสามารถรวมโทเค็นเซสชันได้โดยส่งตัวเลือกcredentials: 'include'เพื่อดึงข้อมูล:

var csrftoken = getCookie('csrftoken');
var headers = new Headers();
headers.append('X-CSRFToken', csrftoken);
fetch('/api/upload', {
    method: 'POST',
    body: payload,
    headers: headers,
    credentials: 'include'
})

Question 5

จากสิ่งนี้ คุณสามารถแก้ไขได้โดยเพิ่มมัณฑนากร sure_csrf_cookieในมุมมองของคุณ

from django.views.decorators.csrf import ensure_csrf_cookie
@ensure_csrf_cookie
def yourView(request):
 #...

หากวิธีนี้ไม่ได้ผล คุณจะพยายามแสดงความคิดเห็น csrf ในมิดเดิลแวร์ และทดสอบอีกครั้ง

Question 6

ฉันเจอสถานการณ์ที่คล้ายกันในขณะที่ทำงานกับ DRF โซลูชันกำลังต่อท้ายเมธอด. as_view () เข้ากับ View ใน urls.py

Question 7

หากคุณใช้ DRF ให้ตรวจสอบว่ารูปแบบ URL ของคุณถูกต้องหรือไม่บางทีคุณอาจลืม.as_view():

ดังนั้นรหัสของฉันจึงเป็นอย่างไร:

urlpatterns += path('resource', ResourceView)

และนั่นคือสิ่งที่ควรชอบ:

urlpatterns += path('resource', ResourceView.as_view())

Question 8

ลองตรวจสอบว่าคุณได้ติดตั้งใน settings.py หรือไม่

 MIDDLEWARE_CLASSES = (
'django.middleware.common.CommonMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',)

ในเทมเพลตข้อมูลถูกจัดรูปแบบด้วย csrf_token:

<form>{% csrf_token %}
</form>

Question 9

ปัญหานี้เกิดขึ้นอีกครั้งเมื่อเร็ว ๆ นี้เนื่องจากข้อบกพร่องใน Python เอง

http://bugs.python.org/issue22931

https://code.djangoproject.com/ticket/24280

ในบรรดาเวอร์ชันที่ได้รับผลกระทบคือ 2.7.8 และ 2.7.9 อ่านคุกกี้ไม่ถูกต้องหากค่าใดค่าหนึ่งมี[อักขระ

การอัปเดต Python (2.7.10) ช่วยแก้ปัญหาได้

Question 10

นอกจากนี้ยังเกิดขึ้นเมื่อคุณไม่ได้ตั้งค่าการดำเนินการแบบฟอร์ม
สำหรับฉันมันแสดงข้อผิดพลาดนี้เมื่อรหัสคือ:

<form class="navbar-form form-inline my-2 my-lg-0" role="search" method="post">

เมื่อฉันแก้ไขรหัสของฉันเป็นสิ่งนี้:

<form class="navbar-form form-inline my-2 my-lg-0" action="{% url 'someurl' %}" role="search" method="post">

ข้อผิดพลาดของฉันหายไป

Question 11

ปัญหาดูเหมือนว่าคุณไม่ได้จัดการGETคำขออย่างเหมาะสมหรือโพสต์ข้อมูลโดยตรงโดยไม่ได้รับแบบฟอร์มก่อน

เมื่อคุณเข้าถึงเพจครั้งแรกไคลเอนต์จะส่งGETคำขอในกรณีนี้คุณควรส่ง html พร้อมรูปแบบที่เหมาะสม

ต่อมาผู้ใช้กรอกแบบฟอร์มและส่ง POSTคำขอพร้อมข้อมูลแบบฟอร์ม

มุมมองของคุณควรเป็น:

def deposit(request,account_num):
   if request.method == 'POST':
      form_=AccountForm(request.POST or None, instance=account)
      if form.is_valid(): 
          #handle form data
          return HttpResponseRedirect("/history/" + account_num + "/")
      else:
         #handle when form not valid
    else:
       #handle when request is GET (or not POST)
       form_=AccountForm(instance=account)

    return render_to_response('history.html',
                          {'account_form': form},
                          context_instance=RequestContext(request))

Question 12

ตรวจสอบว่าคุกกี้ของ Chrome ถูกตั้งค่าด้วยตัวเลือกเริ่มต้นสำหรับเว็บไซต์ อนุญาตให้ตั้งค่าข้อมูลภายในเครื่อง (แนะนำ)

Question 13

วิธีที่ 1:

from django.shortcuts import render_to_response
return render_to_response(
    'history.html',
    RequestContext(request, {
        'account_form': form,
    })

วิธีที่ 2:

from django.shortcuts import render
return render(request, 'history.html', {
    'account_form': form,
})

เนื่องจากเมธอด render_to_response อาจทำให้เกิดปัญหาบางอย่างของคุกกี้ตอบกลับ

Question 14

เพิ่งเคยเจอครั้งเดียววิธีแก้คือล้างคุกกี้ และอาจมีการเปลี่ยนแปลงในขณะที่กำลังแก้ไขข้อบกพร่อง SECRET_KEY ที่เกี่ยวข้อง

Question 15

การล้างแคชของเบราว์เซอร์ช่วยแก้ปัญหานี้ให้ฉันได้ ฉันสลับไปมาระหว่างสภาพแวดล้อมการพัฒนาในพื้นที่เพื่อทำแบบฝึกหัด django-blog-zinnia หลังจากทำงานในโครงการอื่นเมื่อมันเกิดขึ้น ตอนแรกฉันคิดว่าการเปลี่ยนลำดับของ INSTALLED_APPS ให้ตรงกับบทช่วยสอนนั้นทำให้เกิดปัญหาขึ้น แต่ฉันตั้งค่าเหล่านี้กลับและไม่สามารถแก้ไขได้จนกว่าจะล้างแคช

Question 16

ฉันเคยใช้ Django 1.10 มาก่อนดังนั้นฉันจึงประสบปัญหานี้ ตอนนี้ฉันลดระดับเป็น Django 1.9 แล้วและใช้งานได้ดี

Question 17

ฉันมีข้อผิดพลาดเดียวกันในกรณีของฉันเพิ่ม method_decorator ช่วย:

from django.views.decorators.csrf import csrf_protect
from django.utils.decorators import method_decorator

method_decorator(csrf_protect)
def post(self, request):
    ...

Question 18

ตรวจสอบให้แน่ใจว่าแบ็กเอนด์เซสชัน django ของคุณได้รับการกำหนดค่าอย่างถูกต้องใน settings.py จากนั้นลองสิ่งนี้

class CustomMiddleware(object):
  def process_request(self,request:HttpRequest):
      get_token(request)

เพิ่มมิดเดิลแวร์นี้settings.pyภายใต้MIDDLEWARE_CLASSESหรือMIDDLEWAREขึ้นอยู่กับเวอร์ชัน django

get_token - ส่งคืนโทเค็น CSRF ที่จำเป็นสำหรับแบบฟอร์ม POST โทเค็นเป็นค่าตัวเลขและตัวอักษร โทเค็นใหม่จะถูกสร้างขึ้นหากยังไม่ได้ตั้งค่า

Question 19

ในมุมมองของคุณคุณใช้มัณฑนากร csrf หรือไม่?

from django.views.decorators.csrf import csrf_protect

@csrf_protect def view(request, params): ....